Thursday, 7 January 2010

.PL Registry Lock - nowa odsłona

W listopadzie prezentowałem Państwu pierwsze przymiarki do usługi .PL Registry Lock. Po dwóch miesiącach wracamy do tematu, tym razem z bardziej dojrzałą koncepcją rozwiązania. Po przeprowadzonych w tym czasie wielu dyskusjach z eksperatmi od bezpieczeństwa, a także sygnałów płynących z rynku, chciałbym pokazać nieco zmienione oblicze usługi "Registry Lock".

I tak zamiast autentykacji Partnera planujemy wdrożyć bezpieczną autentykację Abonenta. Dzięki temu zostanie zabezpieczona nie tylko droga na linii Partner-NASK, ale także Abonent-Partner-NASK. Po drugie zamiast metody telefonicznej, planujemy wykorzystać technologię jednorazowych haseł (tokeny RSA).


Jak więc będzie wyglądało w praktyce zamówienie usługi ".PL Registry Lock"?
  1. Wykupienie usługi będzie następowało poprzez wysłanie przez Partnera (z wykorzystaniem EPP) do NASK zlecenia (komendy) udostępnienia tokena RSA dla klienta.
  2. NASK wysyła do Abonenta token (poczta, kurier). Token jest aktywowany. Usługa ta wykupywana jest na okres 3 lat.
  3. O ile będzie miał taka wolę, Abonent poprzez Partnera (EPP) wykupuje zabezpieczenie konkretnych swoich domen (na okres roku z możliwością przedłużania na kolejne lata).
  4. W każdej chwili Abonent może wykupić usługę na kolejne swoje domeny (ale tylko swoje). Nie musi więc zabezpieczać od razu wszystkich domen.

Jak będzie wyglądała zmiana danych?
  1. Abonent chcąc zmienić dane kontaktu (czyli swoje) lub dane domeny (np. serwery nazw) zwraca się, jak do tej pory, do Partnera. Partner, tak jak dotychczas, wysyła do NASK poprzez EPP żądanie zmiany danych. Proces ten nie różni się więc niczym w stosunku do tego co ma miejsce obecnie.
  2. NASK umieszcza w specjalnym panelu klienta informację o żądanych zmianach.
  3. Abonent loguje się (poprzez Internet) do panelu w NASK, przegląda zgłoszone żądania i jeśli faktycznie zlecenie jest poprawne to wpisując swój poufny PIN oraz kod jednorazowy akceptując tym samym zmiany.
  4. Zmiany dokonywane są automatycznie, Partner i Abonent otrzymują potwierdzenie (Partner przez EPP, Abonent mailem).

Jakie zalety ma to rozwiązanie w stosunku do propozycji opartej na koncepcji VeriSign (autentykacja Partnera przez telefon):
  1. Autentykujemy dodatkowo drogę Abonent – NASK a nie tylko Partner – NASK.
  2. Autentykacja dokonywana jest automatycznie bez udziału człowieka po stronie NASK.
  3. Partner nie ponosi dodatkowych kosztów obsługi autentykacji (bo NASK nie kontaktuje się z Partnerem ale z Abonentem).
  4. W przypadku wykupu usługi na wiele domen, sumaryczna cena dla klienta będzie niższa niż w propozycji "listopadowej".  


Pozostawiając Państwa z powyższą propozycją usługi „.PL Registry Lock” zapraszam na wtorek na 12 stycznia na dyskusję w NASK o godzinie 11.00.

Adres bloga: http://abartosiewicz.blogspot.com/

3 comments:

  1. Muszę przyznać że zaczyna to mieć sens. ;-)

    ReplyDelete
  2. Zmiana abonenta w ten sam sposób?

    ReplyDelete
  3. Zmiana danych abonenta - juz po wykupieniu "tokena" na abonenta.

    Cesja - po wykupieniu usługi "ochrony" na domenę.

    ReplyDelete